java 自定义xss校验注解实现

于 2023-08-08 18:15:17 发布
阅读量1k 收藏
点赞数
文章标签: java xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/saygood999/article/details/132172797
版权

自定义一个注解@Xss。名字随意

import javax.validation.Constraint;
import javax.validation.Payload;
import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * 自定义xss校验注解
 * 
 * @author chfatech
 */
@Retention(RetentionPolicy.RUNTIME)
@Target(value = { ElementType.METHOD, ElementType.FIELD, ElementType.CONSTRUCTOR, ElementType.PARAMETER })
@Constraint(validatedBy = { XssValidator.class })
public @interface Xss
{
    String message()

    default "不允许任何脚本运行";

    Class<?>[] groups() default {};

    Class<? extends Payload>[] payload() default {};
}

validator校验类:XssValidator。这个校验类要和上面的@Xss注解上的

@Constraint(validatedBy = { XssValidator.class })对应

import com.chfatech.common.utils.StringUtils;
import javax.validation.ConstraintValidator;
import javax.validation.ConstraintValidatorContext;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

/**
 * 自定义xss校验注解实现
 * 
 * @author chfatech
 */
public class XssValidator implements ConstraintValidator<Xss, String>
{
    private static final String HTML_PATTERN = "<(\\S*?)[^>]*>.*?|<.*? />";

    @Override
    public boolean isValid(String value, ConstraintValidatorContext constraintValidatorContext)
    {
        if (StringUtils.isBlank(value))
        {
            return true;
        }
        return !containsHtml(value);
    }

    public static boolean containsHtml(String value)
    {
        Pattern pattern = Pattern.compile(HTML_PATTERN);
        Matcher matcher = pattern.matcher(value);
        return matcher.matches();
    }
}

具体使用在某个字段上加上注解;形如:

@Data
public class HomeQuery {

    @ApiModelProperty(name = "keyword",value = "搜索关键词")
    @Xss
    @SqlInject(message = "{exists.illge.word}")
    private String keyword;

    @ApiModelProperty(name = "sdgId",value = "sdg主键id")
    private Long sdgId;
}

然后在控制层中增加@Validated注解校验就可以了

 以上代码实现后。会自动针对某些增加了@Xss字符进行校验。如果想增加sql注入校验。以上方法类似

王威振的csdn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
1.java处理xss攻击 2.layer处理xss攻击
01-20
xss攻击处理的几种方式
45. 从零开始学springboot撸一个Xss过滤器-注解实现
CTO技术的博客
08-26 318
前言 上章通过Filter实现Xss全局过滤器 可能小伙伴还有点不满, 全局意味着“一刀切”, 虽然我们也有白名单黑名单设置, 但是, 白名单黑名单针对的是整个方法或整个实体类 举个例子, 我定义了个实体 public class People { private String name; private String info; private String des; } 可能业务上有限制(比如name限制了只有5个字符长), 那么name其实不可能存在Xss注入风险了, 程序
java 预防XSS攻击
08-23
Java开发项目,预防XSS攻击后台编写
java防止xss注入
07-15
解决方案是对request请求的parameter 参数做过滤与字符转义
使用过滤器解决xss攻击、SQL注入问题,自定义注解+aop+反射解决xss攻击问题
qq_37948985的博客
06-07 2240
一、过滤器和拦截器的区别: 不同点: 过滤器的执行顺序在拦截前 过滤器基于servlet,而拦截器是基于框架,springmvc 过滤器是基于函数回调,而拦截器是基于Java的反射机制 参考博客:https://blog.csdn.net/zxd1435513775/article/details/80556034 二、基于过滤器解决xss问题 (1)、什么是xss问题 xss问题就是脚本攻击,是指在参数中携带一些script脚本等能在HTML执行的脚本,从而呈现...
Java中的10种方法防止XSS攻击
qq_28245087的博客
06-29 9064
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及防止跨站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,防止潜在的安全漏洞和错误数据的影响。
XSS攻击以及java应对措施
qq_43456605的博客
05-18 4755
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行 “查漏补缺”。XSS 全称 Cross Site Scripting,跨站脚本攻击。
java -xss_Java线程与Xss
weixin_31302909的博客
02-12 3637
jvm系列Xss与线程个数Xss越大,每个线程的大小就越大,占用的内存越多,能容纳的线程就越少;Xss越小,则递归的深度越小,容易出现栈溢出 java.lang.StackOverflowError。减少局部变量的声明,可以节省栈帧大小,增加调用深度。/*** -Xss128K deep of calling = 675* -Xss256K deep of calling = 1686*...
Java XSS:例子和预防
allway2的博客
07-24 2024
成熟的框架(例如Spring)通常具有安全功能,如果使用得当,可以保护您的应用免受最常见类型的攻击。对于我们的第一个示例,我们将展示可以通过查询参数完成的基本XSS攻击。在简要解释了XSS是什么以及为什么它会对您的应用程序的安全构成如此危险的威胁后,我们这样做了。对于某些类型的数据,使用“允许列表”方法可能是有意义的,其中您有一个可以接受的有效数据列表,而其他所有数据都被拒绝。我们示例中的视图有一个故意的错误,以允许未转义的内容按原样显示。他们只受攻击者的独创性和您的应用程序的漏洞的约束。...
Java解决XSS攻击方式
热门推荐
weixin_44858201的博客
03-30 1万+
前言 在项目验收阶段,通常会对待验收项目做一些安全漏洞的测试,比如接口攻击,并发测试,XSS注入,SQL恶意注入测试,安全越权等操作,这时,就是考验项目的安全方面是否做的足够健壮的时候,本篇对XSS脚本攻击在实际WEB项目中的处理办法,提供2种可实行的方法 XSS攻击 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 F
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止)Xss攻击 web.xml,需要的...
java方面xss跨站脚本
11-05
工具:xss-html-filter-master的源码 书籍:XSS跨站脚本攻击剖析与防御(完整版) 所需jar: antlr-3.0.1.jar antlr-runtime-3.0.1.jar xssProtect-0.1.jar
Java防止xss攻击jar包
03-29
Java防止xss攻击依赖jar包
JAVA防止XSS注入,附jar包
05-19
防止xss注入,有antlr-runtime和xssProtect两个jar包,及相关的filter过滤器。
基于Java的高级XSS攻击过滤器设计源码
最新发布
04-08
高级XSS攻击过滤器 - 基于Java开发,包含33个文件,如XML、JAVA、...该系统实现了一个有选择地过滤XSS攻击代码的功能,通过Java技术实现界面交互和功能模块,为用户提供了一个高效、安全的XSS攻击防御解决方案。
java过滤器,防止XSS、SQL
01-08
java过滤器,XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
【PDF-XSS攻击】Java项目-上传文件-解决PDF文件XSS攻击
04-07
PDF-XSS实例文件
XSS防攻击实现
05-09
XSS防攻击实现,是否为忽略xss拦截 默认为false,转义字符,InitBinder
js自定义鼠标右键的实现原理及
12-29
今天来记录下js来自定义鼠标右键,同样先来分解下它的实现原理: 1、屏蔽右键默认事件;(一度我以为修改的就是默认事件) 2、对一个ul的隐藏;(这个我也曾迂腐的认为值得这样操作的都是div,汗) 3、对鼠标点击...
java filter实现xss过滤
03-29
XSS(跨站脚本)攻击是一种常见的web漏洞,攻击者通过在web页面中注入恶意脚本来获取用户的敏感信息或控制用户的浏览器。为了防止XSS攻击,我们需要对用户输入的内容进行过滤和转义。 在Java中,可以使用Filter来实现XSS过滤。具体实现如下: 1. 创建一个Filter类,实现javax.servlet.Filter接口。 2. 在doFilter方法中,获取HttpServletRequest对象,并使用XSS过滤工具对用户输入的参数进行过滤。 3. 在过滤完成后,将HttpServletRequest对象传递给FilterChain对象,继续处理请求。 下面是一个简单的XSS过滤Filter的实现: ``` public class XSSFilter implements Filter { public void init(FilterConfig filterConfig) throws ServletException { // 初始化操作 } public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest req = (HttpServletRequest) request; HttpServletResponse resp = (HttpServletResponse) response; // 对参数进行XSS过滤 Map<String, String[]> parameterMap = req.getParameterMap(); for (String key : parameterMap.keySet()) { String[] values = parameterMap.get(key); for (int i = 0; i < values.length; i++) { values[i] = XSSUtils.stripXSS(values[i]); } parameterMap.put(key, values); } // 继续处理请求 chain.doFilter(req, resp); } public void destroy() { // 销毁操作 } } ``` 在上述代码中,XSSUtils.stripXSS方法是XSS过滤工具类的实现,可以使用第三方库或自己实现。在这里,我们使用了OWASP ESAPI库中的XSS过滤方法: ``` public class XSSUtils { public static String stripXSS(String value) { if (value != null) { // 使用ESAPI库进行XSS过滤 value = ESAPI.encoder().canonicalize(value); value = ESAPI.encoder().encodeForHTML(value); } return value; } } ``` 通过以上实现,我们就可以在web应用程序中使用XSS过滤Filter来防止XSS攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

王威振的csdn

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值